oles@ovh.net
22-07-13, 17:22
http://status.ovh.nl/?do=details&id=8998
Hallo,
Een paar dagen geleden, ontdekten we dat de interne veiligheid van onze
kantoren in Robaais was gecompromitteerd. Na interne onderzoeken blijkt het
dat een hacker in staat was om toegang tot een e-mailaccount van een van onze systeembeheerders te krijgen.
Met dit emailaccount had hij toegang gekregen tot de interne VPN van een medewerker.
Met deze VPN-toegang, was hij in staat om de toegang te compromitteren van een
systeembeheerder die zich bezighoudt met de interne backoffice.
Tot nog toe was de interne veiligheid gebaseerd op 2 niveaus van controle:
- Geografisch: De verplichting om in het kantoor aanwezig te zijn
of de VPN te gebruiken (IP bron).
- Het persoonlijke wachtwoord
Maatregelen genomen sinds deze hack:
Na deze hack hebben we onmiddellijk de interne veiligheidsregime veranderd:
- Wachtwoorden van alle werknemers opnieuw gegenereerd voor alle soorten toegang.
- We hebben een nieuwe VPN in een beveiligde PCI-DSS ruimte geïnstalleerd
met zeer beperkte toegang.
- Raadpleging van interne e-mails is nu enkel mogelijk vanaf het kantoor / VPN
- Al degenen die kritiek toegang hebben worden op 3 niveaus geverifieerd:
- IP bron
- Wachtwoord
- USB beveiliging token (YubiKey)
Bevindingen:
Tijdens het interne onderzoek van het incident,
hebben we ontdekt dat hackers waarschijnlijk hun
toegang gebruikt hebben om twee acties uit te voeren:
- Database van onze klanten in Europa te herstellen
- Toegang krijgen tot het installatie-systeem
van onze servers in Quebec
De database bevat persoonlijke gegevens
van klanten in Europa zoals: naam, voornaam, nic, adres, woonplaats, land, de
telefoon-, fax-en gecodeerd wachtwoord.
Het wachtwoord is "verzout" en gecodeerd met SHA-512 om brute-kracht aanvallen te voorkomen.
Het neemt veel technische middelen om het wachtwoord te vinden. Maar het is mogelijk. Daarom adviseren wij u om
uw wachtwoord te wijzigen. Een e-mail zal vandaag verstuurd
worden naar al onze klanten om het veiligheidsincident uit te leggen en hun uit te nodigen om hun wachtwoord te veranderen.
Informatie over credit cards zijn niet geraadpleegd of gekopieerd en dit word niet opgeslagen bij OVH.
Met betrekking tot onze server installatie systeem in Quebec, hebben we ontdekt dat
als een klant onze SSH-sleutel niet verwijderd had van zijn server, zou het mogelijk geweest zijn voor een
aanvaller om te verbinden met uw server en het wachtwoord te ontdekken uit het .p bestand.
De SSH-sleutel is niet bruikbaar vanaf een andere server, enkel maar vanaf onze backoffice in Canada.
Dus in gevallen waar een klant niet onze SSH sleutel verwijderd had en zijn 'root' wachtwoord van een server in BHS
niet gewijzigd had hebben wij onmiddellijk het wachtwoord gewijzigd. Een email zal vandaag gestuurd worden met het nieuwe wachtwoord.
Als een klant OVH nodig heeft voor support zal een nieuwe SSH sleutel geïnstalleerd moeten worden.
Algemeen, tijdens de komende maanden zal onze backoffice onder PCI-DSS zijn zodat
we ervoor kunnen zorgen dat een incident in verband met specifieke personen geen
impact zult hebben op onze databasen. In een woord, waren we niet paranoïde genoeg en schakelen we nu de
paranoïde hoger. Het doel is om uw gegevens te verbergen en beschermen in het
geval van bedrijfsspionage die op werknemers van OVH gericht zou worden.
We dienen ook een aanklacht over de gerechtelijke autoriteiten.
Om te voorkomen dat we het werk van de onderzoekers zouden verstoren, zullen we geen andere details
hierover geven voordat het onderzoek voltooid is.
Onze excuses voor het incident. Dank u voor uw begrip.
Met vriendelijke groeten
Octave
Hallo,
Een paar dagen geleden, ontdekten we dat de interne veiligheid van onze
kantoren in Robaais was gecompromitteerd. Na interne onderzoeken blijkt het
dat een hacker in staat was om toegang tot een e-mailaccount van een van onze systeembeheerders te krijgen.
Met dit emailaccount had hij toegang gekregen tot de interne VPN van een medewerker.
Met deze VPN-toegang, was hij in staat om de toegang te compromitteren van een
systeembeheerder die zich bezighoudt met de interne backoffice.
Tot nog toe was de interne veiligheid gebaseerd op 2 niveaus van controle:
- Geografisch: De verplichting om in het kantoor aanwezig te zijn
of de VPN te gebruiken (IP bron).
- Het persoonlijke wachtwoord
Maatregelen genomen sinds deze hack:
Na deze hack hebben we onmiddellijk de interne veiligheidsregime veranderd:
- Wachtwoorden van alle werknemers opnieuw gegenereerd voor alle soorten toegang.
- We hebben een nieuwe VPN in een beveiligde PCI-DSS ruimte geïnstalleerd
met zeer beperkte toegang.
- Raadpleging van interne e-mails is nu enkel mogelijk vanaf het kantoor / VPN
- Al degenen die kritiek toegang hebben worden op 3 niveaus geverifieerd:
- IP bron
- Wachtwoord
- USB beveiliging token (YubiKey)
Bevindingen:
Tijdens het interne onderzoek van het incident,
hebben we ontdekt dat hackers waarschijnlijk hun
toegang gebruikt hebben om twee acties uit te voeren:
- Database van onze klanten in Europa te herstellen
- Toegang krijgen tot het installatie-systeem
van onze servers in Quebec
De database bevat persoonlijke gegevens
van klanten in Europa zoals: naam, voornaam, nic, adres, woonplaats, land, de
telefoon-, fax-en gecodeerd wachtwoord.
Het wachtwoord is "verzout" en gecodeerd met SHA-512 om brute-kracht aanvallen te voorkomen.
Het neemt veel technische middelen om het wachtwoord te vinden. Maar het is mogelijk. Daarom adviseren wij u om
uw wachtwoord te wijzigen. Een e-mail zal vandaag verstuurd
worden naar al onze klanten om het veiligheidsincident uit te leggen en hun uit te nodigen om hun wachtwoord te veranderen.
Informatie over credit cards zijn niet geraadpleegd of gekopieerd en dit word niet opgeslagen bij OVH.
Met betrekking tot onze server installatie systeem in Quebec, hebben we ontdekt dat
als een klant onze SSH-sleutel niet verwijderd had van zijn server, zou het mogelijk geweest zijn voor een
aanvaller om te verbinden met uw server en het wachtwoord te ontdekken uit het .p bestand.
De SSH-sleutel is niet bruikbaar vanaf een andere server, enkel maar vanaf onze backoffice in Canada.
Dus in gevallen waar een klant niet onze SSH sleutel verwijderd had en zijn 'root' wachtwoord van een server in BHS
niet gewijzigd had hebben wij onmiddellijk het wachtwoord gewijzigd. Een email zal vandaag gestuurd worden met het nieuwe wachtwoord.
Als een klant OVH nodig heeft voor support zal een nieuwe SSH sleutel geïnstalleerd moeten worden.
Algemeen, tijdens de komende maanden zal onze backoffice onder PCI-DSS zijn zodat
we ervoor kunnen zorgen dat een incident in verband met specifieke personen geen
impact zult hebben op onze databasen. In een woord, waren we niet paranoïde genoeg en schakelen we nu de
paranoïde hoger. Het doel is om uw gegevens te verbergen en beschermen in het
geval van bedrijfsspionage die op werknemers van OVH gericht zou worden.
We dienen ook een aanklacht over de gerechtelijke autoriteiten.
Om te voorkomen dat we het werk van de onderzoekers zouden verstoren, zullen we geen andere details
hierover geven voordat het onderzoek voltooid is.
Onze excuses voor het incident. Dank u voor uw begrip.
Met vriendelijke groeten
Octave